CRITICAL🇬🇧 English

CVE-2026-25227

RCE w authentik przez endpoint testowy mapowania właściwości

CVSS 9.1v3.1pub. 2026-02-12upd. 2026-02-19

Podatność w open-source'owym dostawcy tożsamości authentik umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami delegowanymi wykonanie dowolnego kodu wewnątrz kontenera serwera authentik. Ze względu na możliwość eskalacji wpływu poza granice standardowego zakresu uprawnień (Scope: Changed) i pełny kompromis poufności, integralności oraz dostępności, podatność jest oceniana jako krytyczna.

Pokaż oryginał (EN)

authentik is an open-source identity provider. From 2021.3.1 to before 2025.8.6, 2025.10.4, and 2025.12.4, when using delegated permissions, a User that has the permission Can view * Property Mapping or Can view Expression Policy is able to execute arbitrary code within the authentik server container through the test endpoint, which is intended to preview how a property mapping/policy works. authentik 2025.8.6, 2025.10.4, and 2025.12.4 fix this issue.

🤖 Analiza AI
Jak działa

Użytkownik posiadający delegowane uprawnienie 'Can view * Property Mapping' lub 'Can view Expression Policy' może wywołać endpoint testowy, który służy do podglądu działania mapowania właściwości lub polityki opartej na wyrażeniach. Endpoint ten nie nakłada odpowiednich ograniczeń na wykonywany kod, co pozwala na przesłanie i uruchomienie dowolnego wyrażenia (CWE-94: Improper Control of Code Generation). W efekcie atakujący uzyskuje zdolność do wykonania arbitralnego kodu bezpośrednio w kontekście kontenera serwera authentik.

Skutki

Atakujący może wykonać dowolny kod wewnątrz kontenera authentik, co prowadzi do pełnego przejęcia kontroli nad instancją serwera — w tym do ujawnienia wrażliwych danych, modyfikacji konfiguracji oraz potencjalnego dalszego ruchu w środowisku (lateral movement).

Mitygacja

Należy zaktualizować authentik do wersji 2025.8.6, 2025.10.4 lub 2025.12.4, które zawierają poprawkę tego problemu. Szczegóły dostępne w oficjalnych wydaniach na GitHub oraz w advisory GHSA-qvxx-mfm6-626f.

Kogo dotyczy

Goauthentik authentik w wersjach od 2021.3.1 do (nie włącznie) 2025.8.6, 2025.10.4 oraz 2025.12.4

Uwagi

Podatność dotyczy wyłącznie użytkowników z delegowanymi uprawnieniami do przeglądania mapowań właściwości lub polityk wyrażeń — nie jest dostępna dla nieuwierzytelnionych atakujących. Mimo to szeroki zakres podatnych wersji (od 2021.3.1) zwiększa ekspozycję w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Goauthentik Authentik

    APP
    Goauthentik
    2021.3.1 – 2025.8.6 (bez)2025.10.0 – 2025.10.4 (bez)2025.12.0 – 2025.12.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEContainer
CWE
Referencje

Powiązane podatności

CVE-2026-42849CRITICAL9.3PL ✓ten sam produkt

XSS w AutosubmitStage komponentu SFE w Goauthentik Authentik

CVE-2026-49448CRITICAL9.8PL ✓ten sam produkt

Pominięcie etapu uwierzytelniania (Source Stage) w Goauthentik Authentik

CVE-2024-47070CRITICAL9.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia przez nagłówek X-Forwarded-For w authentik

CVE-2023-46249CRITICAL9.6ten sam produkt

authentik is an open-source Identity Provider. Prior to versions 2023.8.4 and 2023.10.2, when the default admi...

CVE-2023-26481CRITICAL9.1ten sam produkt

authentik is an open-source Identity Provider. Due to an insufficient access check, a recovery flow link that ...